Günümüzün dijital dünyasında, hiç şüphe yok ki güvenlik şirketler için sürekli bir öncelik olmalıdır — ister şirket içi kurumsal bilgileri, ister ürün ve çözümlerini koruyor olsun.
Bununla birlikte, durgunluk güçleri gizlenirken, Web veya mobil uygulamalar gibi son kullanıcılara sunulan veya satılan ürün ve çözümlerin güvenliğine daha da fazla odaklanılması gerekir. Güvenliğe harcamak için maliyetlerin düşürüldüğü bir ortamda – esasen bir kontrol listesi öğesi olarak bakıldığında – mantıksız görünse de, alternatif, acı ve daha fazla maliyet dünyasıdır.
Göre Accenture, siber saldırılar 2020 ile 2021 arasında %31 arttı. ABD, COVID-19 salgını ve bunun ülke ekonomisi üzerindeki olumsuz etkisiyle boğuşurken bu doğruydu. Şimdi, işaretler bu yıl ekonomide başka bir gerilemeye işaret ediyor olabilir, bu sektördeki son işten çıkarmaların da yansıttığı bir şeydir.
Bu ekonomik faktörlerin bir sonucu olarak, personel ve bütçelerdeki azalma, şirketler faaliyetlerini sürdürmeye ve kendilerini sürdürmeye odaklanırken siber suçluların avantaj elde etmesi için mükemmel bir pencere oluşturabilir.
Siber Suçlular İçin Bir Fırsat Penceresi
Ekonomik durgunluk dönemlerinde şirketler, gelir elde etmeye daha fazla odaklanır ve bunu başarmak için daha fazla personel ve kaynak ayırır. Bu, 2023’te şirketlerin satışları artırabilecek yeni özellikler ve işlevler oluşturarak uygulamaların geliştirilmesine öncelik verecekleri anlamına geliyor.
Ne yazık ki, personel ve kaynakların çoğu uygulama geliştirmeye tahsis edildiğinden, güvenlik genellikle yol kenarına düşebilir. Özellikle, her şeyi en son güvenlik uygulamalarıyla güncel tutmak.
Bu öncelik azaltma, siber suçluların uygulamalardaki kusurlardan veya hatalardan yararlanmaları için bir fırsat penceresi oluşturur. Örneğin, Synopsys Siber Güvenlik Araştırma Merkezi (CyRC) yakın zamanda çeşitli uygulama mağazalarında bulunan birkaç uygulamadaki bir dizi güvenlik açığını vurguladı. CyRC, Lazy Mouse, Telepad ve PC Keyboard uygulamalarında “zayıf veya eksik kimlik doğrulama mekanizmalarını, eksik yetkilendirmeyi ve güvensiz iletişim açıklarını ortaya çıkardığını” belirtti. Bu güvenlik açıkları, tuş vuruşlarının kullanılması yoluyla oturum açma kimlik bilgileri gibi hassas bilgilerin toplanmasına yol açabilir.
Bu güvenlik açıklarının tam etkisini bilmesek de bunlar, birçok şirket için öncelikler listesinden düşebilecek kusur veya hata türlerinin harika örnekleridir.
Uygulama Güvenliği Tartışılamaz
Bir uygulamanın siber suçlular tarafından ele geçirilebileceği herhangi bir senaryoda, itibara zarar verme ve gelir elde etme konusunda muazzam bir potansiyel vardır. Bu yüzden pazarlık konusu olamaz.
Durgunluk döneminde olsak da olmasak da, şirketler tüm uygulama güvenliği faaliyetlerine öncelik vermeye devam etmelidir gelirle aynı seviyede. Bu faaliyetler şunları içerir:
- Güvenlik açığı ve sızma testi: Ekonomik gerileme zamanlarında genellikle önceliği kaldırılan ilk güvenlik faaliyetlerinden bazıları güvenlik açığı ve sızma testidir. Bir şirket bu testi normal bir ekonomik dönemde birkaç ayda bir yapabilirken, BT ve mühendislik personelinin çabalarını yeni özellikler ve işlevler oluşturmaya odaklamak için bu oranı azaltabilir. Bu, siber suçluların güvenlik açıklarının nerede olduğunu belirlemek için güncel tutulmayan bir uygulamaya saldırma fırsatı olduğu anlamına gelir. Siber faaliyetler artma eğilimi gösterdiğinden, şirketlerin test aralıklarını ekonomik durgunluk dönemlerinde sürdürmesi veya artırması çok önemlidir.
- Risk değerlendirmesi: Uygulamaları geliştirirken veya geliştirirken, üçüncü taraflar aracılığıyla entegre edilenlerin yanı sıra, genellikle şirket tarafından oluşturulan özel özellikler ve işlevler vardır. Bunun gibi özellikler ve işlevler, ödemeleri (Apple Pay, Google Pay, Stripe, PayPal vb.), erişimi (Facebook veya Google girişi vb.), biyometriyi ve daha fazlasını içerebilir. Güvenlik açığı ve sızma testinde olduğu gibi, şirketler birlikte çalıştıkları veya entegre oldukları tüm üçüncü taraf eklentilerini içeren düzenli risk değerlendirmeleri yapmalıdır. Bu üçüncü tarafların doğasında bulunan güvenlik açıkları, işletmeleri için de sorun olma potansiyeline sahiptir.
- Gizlilik koruması: Uygulamalar, özellikle son kullanıcılar olarak tüketicilere yönelik olanlar, siber saldırılara karşı özellikle savunmasızdır. Şirketler, kullanıcı bilgilerinin güvenliğini ve şifrelenmesini sağlayan süreçleri ve protokolleri uygulamaya devam etmelidir.
- Hata ödül programları: Tarihsel olarak, uygulama ve yazılım sunan birçok teknoloji şirketi veya şirket, hataları veya kusurları belirlemeye yardımcı olan hata ödül programları barındırır. Şirketlerin, tespitleri için geliştiricilere tazminat sunan bu tür programlara yatırım yapmaya devam etmesi önemlidir çünkü daha önce de belirtildiği gibi, kusurlar ve hatalar siber suçluların uygulamalardan yararlanmaları için bir pencere açar.
Öncelikleri Göz Önünde Bulundurun
Şirketler ileriye bakarken ve ekonomi değişmeye devam ederken, önceliklerini gözden kaçırmamaları önemlidir. Evet, şirketlerin kârlı kalmasını sağlamak için uygulamalar aracılığıyla yeni gelir akışları bulmaya devam etmek önemlidir. Ancak bunun uygulama güvenliği pahasına olması gerekmez.